CRITICALCVE-2025-15379CVSS 10

CVE-2025-15379 MLflow 命令注入漏洞：代码执行

Q: 如何修复 mlflow 中的 CVE-2025-15379？

这是一个 MLflow 设置，表示依赖项由本地管理，并从 `python_env.yaml` 文件读取规范。

Q: CVE-2025-15379 是否正在被积极利用？

如果您使用的是 MLflow 的 3.8.1 之前的版本，并且使用 `env_manager=LOCAL`，则您容易受到此漏洞的攻击。

Q: 在哪里可以找到 mlflow 关于 CVE-2025-15379 的官方安全通告？

除了升级之外，如果可能，请避免使用 `env_manager=LOCAL`，并严格验证 `python_env.yaml` 文件中的依赖项。

平台

python

组件

mlflow

修复版本

3.8.2

3.9.0rc0

AI Confidence: highNVDEPSS 0.2%已审阅: 2026年3月

在NVD查看

保存

CVE-2025-15379 是 MLflow 中的一个命令注入漏洞，攻击者可以利用此漏洞在系统上执行任意命令。该漏洞存在于模型服务容器初始化代码中。受影响的版本包括 3.8.0 及以下版本。该漏洞已在 3.8.2 版本中修复，建议尽快更新。

影响与攻击场景

CVE-2025-15379 是 MLflow 中一个关键的命令注入漏洞，尤其是在模型服务容器初始化代码中。当使用 envmanager=LOCAL 部署模型时，此漏洞会发生。MLflow 从模型工件的 pythonenv.yaml 文件中读取依赖项规范，并在未进行任何清理的情况下直接将其插入到 shell 命令中。攻击者可以通过提供恶意的模型工件来利用此漏洞，从而在部署模型的系统上执行任意命令。CVSS 评分是 10.0，表明风险极高。3.8.1 之前的版本会受到影响。根本原因是 python_env.yaml 文件中缺乏输入验证，从而允许命令注入。

利用背景

如果攻击者能够将恶意的模型工件上传到 MLflow，则他们可以利用此漏洞。这可能发生在模型部署过程没有充分验证工件来源的情况下。恶意的工件将包含一个 python_env.yaml 文件，旨在注入任意命令。部署模型时，MLflow 将执行修改后的命令，从而允许攻击者在部署系统上执行代码。利用的复杂性相对较低，因为它只需要创建一个恶意的工件并将其部署即可。系统的机密性、完整性和可用性可能会受到损害。

哪些人处于风险中翻译中…

Organizations heavily reliant on MLflow for model deployment, particularly those using the LOCAL environment manager, are at significant risk. This includes data science teams, machine learning engineers, and DevOps professionals responsible for deploying ML models in production environments. Shared hosting environments where multiple users can upload model artifacts are also particularly vulnerable.

检测步骤翻译中…

• python / mlflow:

import os
import subprocess

def check_python_env_yaml(yaml_file):
    try:
        with open(yaml_file, 'r') as f:
            yaml_content = f.read()
        if '!' in yaml_content:
            print(f"Potential command injection detected in {yaml_file}")
    except FileNotFoundError:
        print(f"File not found: {yaml_file}")

# Example usage
check_python_env_yaml('path/to/python_env.yaml')

• linux / server:

find /opt/mlflow/models -name 'python_env.yaml' -print0 | xargs -0 grep -l '!'

攻击时间线

2026-03-30Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.24% (47% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响total

受影响的软件

组件mlflow

供应商osv

影响范围修复版本

unspecified – 3.8.23.8.2

—3.9.0rc0

弱点分类 (CWE)

CWE-77

时间线

已保留2025-12-30
发布日期2026-03-30
修改日期2026-04-01
EPSS 更新日期2026-04-06

披露后-93天发布补丁

缓解措施和替代方案

针对 CVE-2025-15379 的主要缓解措施是升级到 MLflow 版本 3.8.1 或更高版本。此版本包含一个修复程序，可以清理 pythonenv.yaml 文件中的输入，从而防止命令注入。作为额外的预防措施，如果可能，请避免使用 envmanager=LOCAL，并选择更安全的环境管理方法。如果必须使用 envmanager=LOCAL，请在将依赖项用于任何 shell 命令之前，严格验证和清理 pythonenv.yaml 文件中指定的依赖项。监控系统日志以查找可疑活动对于检测潜在的利用尝试也很重要。

修复方法

将 MLflow 库更新到 3.8.2 或更高版本。此版本包含对命令注入漏洞的修复。您可以使用 `pip install mlflow==3.8.2` 或更高版本进行更新。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2025-15379 是什么 — mlflow 中的 Command Injection？

MLflow 是一个开源平台，用于管理机器学习生命周期的各个方面，从实验到部署。

mlflow 中的 CVE-2025-15379 是否会影响我？

版本 3.8.1 修复了 CVE-2025-15379 命令注入漏洞，从而降低了执行任意命令的风险。

如何修复 mlflow 中的 CVE-2025-15379？

这是一个 MLflow 设置，表示依赖项由本地管理，并从 python_env.yaml 文件读取规范。

CVE-2025-15379 是否正在被积极利用？

如果您使用的是 MLflow 的 3.8.1 之前的版本，并且使用 env_manager=LOCAL，则您容易受到此漏洞的攻击。

在哪里可以找到 mlflow 关于 CVE-2025-15379 的官方安全通告？

除了升级之外，如果可能，请避免使用 envmanager=LOCAL，并严格验证 pythonenv.yaml 文件中的依赖项。